New York's SHIELD Act: ความหมายสำหรับธุรกิจ

New York's Shield Act เป็นกฎหมายความเป็นส่วนตัวของข้อมูลที่ธุรกิจทั่วประเทศต้องนำมาพิจารณา โดยเฉพาะอย่างยิ่งสำหรับธุรกิจที่มีลูกค้าปัจจุบันหรือลูกค้าที่มีศักยภาพที่อาศัยอยู่ในรัฐ จะส่งผลอย่างไรต่อองค์กร และพวกเขาจะเตรียมตัวสำหรับกฎระเบียบและมาตรฐานการปฏิบัติตามในอนาคตได้อย่างไร?

พระราชบัญญัติ New York SHIELD คืออะไร?

พระราชบัญญัติ SHIELD ของนิวยอร์กมีผลบังคับใช้อย่างเป็นทางการในวันที่ 21 ^{มีนาคม} และได้รับการออกแบบมาเพื่อขยายกฎระเบียบที่มีอยู่โดยการปกป้องข้อมูลผู้บริโภคเพิ่มเติมและกำหนดสิ่งที่ถือเป็นการละเมิดข้อมูลใหม่

• ความครอบคลุม: พระราชบัญญัติ SHIELD ขยายขอบเขตผู้ที่อยู่ภายใต้เขตอำนาจของกฎหมาย ก่อนหน้านี้ ธุรกิจที่ต้องปฏิบัติตามกฎหมายคือบริษัทที่ดำเนินการภายในรัฐ พระราชบัญญัติฉบับใหม่นี้ขยายขอบเขตนี้ให้ครอบคลุมลูกค้าที่อาศัยอยู่ในนิวยอร์ก ไม่ว่าธุรกิจจะตั้งอยู่ที่นั่นหรือไม่ก็ตาม
• คำจำกัดความ: คำจำกัดความของสิ่งที่ทำให้การละเมิดความปลอดภัยได้รับการกำหนดใหม่ภายใต้พระราชบัญญัติ ก่อนหน้านี้ บุคคลที่ไม่ได้รับอนุญาตจะต้องได้ มา ซึ่งข้อมูลส่วนบุคคลและข้อมูล โดยมุ่งเป้าไปที่แฮ็กเกอร์และอาชญากรไซเบอร์ ตอนนี้ ผู้บริโภคจะต้องได้รับแจ้งเมื่อมีบุคคลที่ไม่ได้รับอนุญาต เข้าถึง ข้อมูล ไม่ว่าข้อมูลนั้นจะถูกขโมยหรือไม่ก็ตาม
• ประเภทข้อมูล: ก่อนหน้านี้ ประเภทของข้อมูลที่ได้รับการคุ้มครองคือข้อมูลใดๆ ที่ใช้ร่วมกับหมายเลขประกันสังคม หมายเลขใบขับขี่ หรือหมายเลขบัญชีอื่นๆ ที่อาจใช้กับรหัสผ่านหรือรหัสการเข้าถึงที่อนุญาตให้เข้าถึงบัญชีได้ นี้ได้รับการขยายให้รวมถึงต่อไปนี้:
  • เลขบัญชีการเงินที่ใช้เข้าบัญชีได้ เช่น เลขบัตรเครดิต
  • ชื่อผู้ใช้ รหัสผ่าน อีเมล และคำถามเพื่อความปลอดภัย
  • ข้อมูลไบโอเมตริกซ์ที่ใช้ในการระบุตัวบุคคล

ธุรกิจจะต้องปฏิบัติตามกฎระเบียบใหม่เหล่านี้ในขณะนี้

“เป็นเรื่องสำคัญที่กฎหมายของเราจะต้องก้าวให้ทันโลกของเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็ว พระราชบัญญัติ SHIELD ยกระดับมาตรฐานความปลอดภัยเพื่อไม่ให้ชาวนิวยอร์กตกเป็นเหยื่อโดยไม่จำเป็นจากการละเมิดข้อมูลและการโจมตีทางไซเบอร์อีกต่อไป” – วุฒิสมาชิกเควิน โธมัส ประธานคณะกรรมการคุ้มครองผู้บริโภค

ทำไมธุรกิจควรดูแล?

ค่าปรับ

แน่นอนว่าสิ่งที่ต้องพิจารณาอย่างชัดเจนที่สุดคือผลกระทบทางการเงินจากการทำผิดกฎข้อบังคับด้านการปฏิบัติตามกฎระเบียบฉบับใหม่

กฎหมายนี้เคยกำหนดเพดานค่าปรับ 150,000 ดอลลาร์สำหรับบริษัทเดียว แต่ปรับเพิ่มเป็น 250,000 ดอลลาร์แล้ว

สำหรับการรู้แจ้งและการละเมิดโดยประมาท—องค์กรที่ไม่ได้กำหนดขั้นตอนการปฏิบัติตามที่ถูกต้อง—ศาลสามารถขอบทลงโทษที่มากกว่า $5,000 หรือสูงถึง $20 ต่ออินสแตนซ์สูงสุด $250,000

ภายในเดือนสิงหาคม 2019 สำนักงานอัยการสูงสุดได้เรียกเก็บเงินค่าปรับมากกว่า 600 ล้านดอลลาร์จากธุรกิจที่ไม่เป็นไปตามมาตรฐานการปฏิบัติตามที่ถูกต้องตามกฎหมายฉบับที่แล้ว

600 ล้านดอลลาร์เป็นเงินจำนวนมาก และนั่นพร้อมกับการลงนามในกฎหมายฉบับใหม่นี้เป็นเครื่องบ่งชี้ว่านิวยอร์กให้ความสำคัญกับการปกป้องความเป็นส่วนตัวของข้อมูลสำหรับผู้บริโภคเพียงใด

ด้วยพระราชบัญญัติ SHIELD ได้ขยายขอบเขตอย่างมากถึงสิ่งที่ธุรกิจต้องปฏิบัติตามและแนวทางปฏิบัติที่พวกเขามีอยู่ มีแนวโน้มว่าตัวเลขดังกล่าวจะเพิ่มขึ้นอย่างมากในอีกไม่กี่ปีข้างหน้า

“ความจริงที่เห็นได้ชัดคือการละเมิดความปลอดภัยกำลังเกิดขึ้นบ่อยครั้งขึ้น และด้วยกฎหมายฉบับนี้ นิวยอร์กกำลังดำเนินการตามขั้นตอนเพื่อเพิ่มการป้องกันสำหรับผู้บริโภค และให้บริษัทเหล่านี้รับผิดชอบเมื่อพวกเขาจัดการข้อมูลที่ละเอียดอ่อนอย่างไม่ถูกต้อง” – ผู้ว่าราชการ Cuomo

กล่าวโดยย่อ กฎระเบียบด้านการปกป้องข้อมูลยังมีอีกหลายแง่มุมที่บริษัทต่างๆ อาจตกอยู่ในด้านที่ผิด ดังนั้นการหลีกเลี่ยงค่าปรับและการทำให้แน่ใจว่าจะไม่เกิดขึ้นควรมีความสำคัญสูงสุด

รักษาธุรกิจของคุณ

กฎหมายใหม่ เช่น SHIELD ควบคู่ไปกับ CCPA ที่มีอยู่ในแคลิฟอร์เนียและ GDPR ในสหภาพยุโรป เป็นสิ่งบ่งชี้ชัดเจนว่านักการเมืองตระหนักถึงความไม่พอใจของผู้บริโภคกับวิธีที่องค์กรจัดการข้อมูลของตน

ผู้คนตระหนักถึงสิทธิ์ในข้อมูลและความเป็นส่วนตัวมากกว่าที่เคยเป็นมา และ 84% ของผู้คนกล่าวว่าพวกเขาใส่ใจในความเป็นส่วนตัว ดูแลข้อมูลของตนเอง ดูแลข้อมูลของสมาชิกคนอื่นๆ ในสังคม และต้องการควบคุมมากขึ้น วิธีการใช้ข้อมูลของพวกเขา

แต่สิ่งนี้ส่งผลต่อความสำเร็จของธุรกิจอย่างไร?

ตรงไปตรงมา การปกป้องข้อมูลเป็นความพยายามในการอนุรักษ์ตนเองสำหรับองค์กรมากพอๆ กับการรักษาผลประโยชน์สูงสุดของลูกค้าเป็นสำคัญ

79% ของผู้คนกล่าวว่าพวกเขากังวลมากหรือค่อนข้างน้อยเกี่ยวกับวิธีที่บริษัทต่างๆ ใช้ข้อมูลที่รวบรวมเกี่ยวกับพวกเขา

ครั้งแล้วครั้งเล่า ธุรกิจที่จัดการข้อมูลผิดพลาดหรือประสบกับการละเมิดข้อมูลเนื่องจากมาตรฐานการปกป้องข้อมูลที่ไม่ดีกำลังยิงตัวเองเข้าที่เข้าทาง เนื่องจากผู้บริโภคมักจะนำธุรกิจของตนไปให้คนอื่นหากรู้สึกว่าไม่ได้รับการคุ้มครอง

อันที่จริง 48% ของผู้ตอบแบบสำรวจกล่าวว่าพวกเขาได้เปลี่ยนบริษัทหรือผู้ให้บริการแล้วเพราะพวกเขากังวลเกี่ยวกับนโยบายข้อมูลและแนวทางปฏิบัติในการแบ่งปันข้อมูล

ข้อความดังกล่าวดังและชัดเจนจากผู้บริโภค: ให้ความสำคัญกับข้อมูลของตนอย่างจริงจัง มิฉะนั้น พวกเขาจะนำธรรมเนียมของตนไปใช้กับธุรกิจที่ทำ

เพิ่มเติมที่จะมา

ตามที่เรากล่าวไว้สั้นๆ พระราชบัญญัติ SHIELD มีความคล้ายคลึงกับกฎหมายคุ้มครองข้อมูลที่มีอยู่ เช่น CCPA และ GDPR

SHIELD ไม่ใช่คนแรกและจะไม่ใช่คนสุดท้ายอย่างแน่นอน

กฎหมายเช่นนี้กำหนดรูปแบบการสนทนาเกี่ยวกับการคุ้มครองผู้บริโภค

บุคคลสำคัญทางธุรกิจและองค์กรต่างๆ กำลังเรียกร้องให้มีกฎหมายความเป็นส่วนตัวของข้อมูลของรัฐบาลกลางที่ได้รับแรงบันดาลใจจาก GDPR และ CCPA และในขณะที่ร่างกฎหมายของรัฐบาลกลางแบบสองพรรคยังไม่ปิดตัวลงในขณะนี้ กฎระเบียบทั้งหมดเหล่านี้ดูเหมือนจะมุ่งไปในทิศทางเดียว

โดยเฉพาะอย่างยิ่งเมื่อคุณพิจารณาถึงผลกระทบที่ CCPA และ SHIELD มีโดยลำพัง—ผู้คน 60 ล้านคนในแคลิฟอร์เนียและนิวยอร์กกำลังได้รับการคุ้มครองโดยสิ่งนี้

นั่นคือเกือบ 20% ของประชากรทั้งหมดในสหรัฐอเมริกาที่ธุรกิจต้องปฏิบัติตาม

เป็นไปได้ว่าในเวลาที่รัฐอื่น ๆ จะปฏิบัติตามแม้ว่าจะไม่มีกฎหมายของรัฐบาลกลางก็ตาม - รัฐต่าง ๆ รวมถึงฟลอริดา (ศูนย์ประชากรและตลาดที่ใหญ่ที่สุดแห่งหนึ่งของสหรัฐ) กำลังแนะนำร่างกฎหมายไปยังชั้นวุฒิสภา

ธุรกิจที่นำหน้าจะตระหนักว่ากฎหมายอย่าง CCPA และ SHIELD เป็นเพียงจุดเริ่มต้น และเตรียมองค์กรของตนด้วยมาตรฐานและแนวปฏิบัติที่ครอบคลุมสำหรับการปฏิบัติตามกฎระเบียบข้อมูลซึ่งจำเป็นสำหรับสิ่งที่จะเกิดขึ้น

ธุรกิจสามารถเตรียมอะไรได้บ้าง?

ธุรกิจควรเริ่มต้นด้วยการลงทุนในแง่มุมที่สำคัญบางอย่างของธุรกิจซึ่งจะช่วยปกป้องข้อมูลของลูกค้า เหล่านี้คือ:

มาตรการปกป้องข้อมูล

ข้อมูลลูกค้าของคุณถูกจัดเก็บอย่างไร?

สาเหตุหนึ่งที่ทำให้การใช้งานระบบคลาวด์เพิ่มขึ้นอย่างมากในหมู่ SMB นั้นเป็นเพราะความง่ายในการใช้งานและมาตรฐานระดับสูงในการปกป้องข้อมูล

ในขณะที่ปีก่อนๆ เจ้าของธุรกิจลังเลที่จะจัดเก็บข้อมูลที่เป็นความลับบนคลาวด์ แต่ตอนนี้พวกเขากำลังทำเป็นจำนวนมากอันเป็นผลมาจากความก้าวหน้าในการรักษาความปลอดภัยบนคลาวด์

บริการคลาวด์ เช่น Azure ของ Microsoft ใช้ศูนย์ข้อมูลระดับ Tier IV ซึ่งให้ความปลอดภัยสูงสุดและหยุดทำงานเพียง 26 นาทีต่อปี

ธุรกิจจำนวนมากใช้ระบบไฮบริดสำหรับข้อมูลของตน โดยเก็บข้อมูลงานทั่วไปไว้ในศูนย์ข้อมูลคลาวด์สาธารณะ ในขณะที่ใช้ศูนย์ข้อมูลส่วนตัวสำหรับข้อมูลที่ละเอียดอ่อนมากขึ้น ทำให้พวกเขามีตัวเลือกในการควบคุมและปรับแต่งได้มากขึ้น

ซึ่งช่วยให้องค์กรมีความยืดหยุ่นมากขึ้น ซึ่งอาจใส่ใจเป็นพิเศษเกี่ยวกับวิธีการดูแลข้อมูลของตน

โพสต์ที่เกี่ยวข้อง: ทำไมคุณถึงต้องการศูนย์ข้อมูลระดับ IV

เจ้าหน้าที่รับผิดชอบโดยตรงในการประสานงานและประเมินความเสี่ยง

โดยทั่วไป เป็นการดีที่จะมีพนักงาน (หรือผู้ขาย) ขับเคลื่อนนโยบายการปฏิบัติตามข้อกำหนดของคุณ

การจัดการข้อมูลอย่างมีประสิทธิภาพและได้มาตรฐานไม่ใช่แค่การติดตั้งแอพใหม่เท่านั้น โดยพื้นฐานแล้วขึ้นอยู่กับวิธีที่พนักงานของคุณใช้และแบ่งปันข้อมูลและวิธีแก้ปัญหาที่พวกเขาใช้ในการทำเช่นนั้น

หากพวกเขาฝ่าฝืนกฎหมายใหม่หรือแนวปฏิบัติที่มีอยู่ คุณต้องการคนที่มีความรู้และความสามารถในการจัดการกับข้อกังวลเหล่านี้และดำเนินการตามมาตรฐานที่ถูกต้อง

บุคคลนี้ควรรับผิดชอบในการรายงานการละเมิดข้อมูลใด ๆ ที่เกิดขึ้น นอกเหนือจากการประเมินความเสี่ยงที่อาจเกิดขึ้นเป็นประจำเกี่ยวกับการจัดการข้อมูล ไม่ว่าจะเป็นฮาร์ดแวร์หรือซอฟต์แวร์ก็ตาม

สิ่งนี้จะมีความเกี่ยวข้องมากยิ่งขึ้น เมื่อพิจารณาถึงปัญหาที่บริษัทประสบในการแบ่งปันข้อมูลภายในและระหว่างพนักงานที่อยู่ห่างไกล

ธุรกิจบางแห่งจะเลือกมีคนในองค์กรที่จะทำเช่นนี้ แต่หลายๆ ธุรกิจจะเลือกใช้ MSSP เนื่องจากมีความคุ้มค่าและมีความเชี่ยวชาญในสิ่งที่ธุรกิจจำเป็นต้องดำเนินการเกี่ยวกับการปกป้องข้อมูลตามที่เกี่ยวข้องกับธุรกิจเฉพาะ สถานการณ์.

ซื้อกลับบ้าน

• New York SHIELD Act เป็นส่วนขยายที่สำคัญของกฎหมายความเป็นส่วนตัวของข้อมูลที่มีอยู่ ซึ่งธุรกิจต่างๆ จะต้องปฏิบัติตามในขณะนี้
• ความต้องการของผู้บริโภคและความสนใจของสาธารณชนที่เพิ่มขึ้นในกฎหมายคุ้มครองข้อมูลหมายความว่าธุรกิจต่างๆ ควรใช้แนวทางปฏิบัติในการจัดการข้อมูลอย่างจริงจังเพื่อให้ลูกค้าพึงพอใจ
• SHIELD เป็นเพียงกฎหมายความเป็นส่วนตัวของข้อมูลชุดล่าสุด และกฎหมายเพิ่มเติมในอีกไม่กี่ปีข้างหน้าจะช่วยเร่งความจำเป็นให้องค์กรต้องปฏิบัติตามข้อกำหนดของตนอย่างรวดเร็ว

ธุรกิจของคุณเป็นไปตามข้อกำหนดหรือไม่?

กฎหมายใหม่ เช่น GDPR, CCPA และ SHIELD เป็นเพียงจุดเริ่มต้นสำหรับมาตรฐานการปฏิบัติตามข้อกำหนดด้านการปกป้องข้อมูลที่ธุรกิจต่างๆ ควรนำมาพิจารณา วัตถุประสงค์หลักสำหรับองค์กรสมัยใหม่ควรหยุดการละเมิดข้อมูล แต่อย่างไร

ดู eBook ฟรีของเรา " อะไรทำให้การป้องกันความปลอดภัยทางไซเบอร์ที่ดีสำหรับ SMB ยุคใหม่" และดูว่าบริษัทต่างๆ ควรวางมาตรการใดเพื่อรักษาความปลอดภัยให้กับข้อมูล